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@ Procedes et systemes d'authentifi cation d' accreditations ou de messages a apport nul de connaissance et de signature 
de messages. 



@ Procedes et systemes d'authentification d'accreditation 
ou de messages, et de signature de messages. 

Au lieu d'utiliser des accreditations multiples et un processus 
iteratif de verification, on utilise une accreditation profonde 
(exposant p eleve) et on tire au hasard un nombre D comprts 
entre 0 et p-1. Les operations de verification passent par le 
calcul de la puissance D ieme de I 'accreditation inverse B. 

Application notamment aux cartes a puce et plus speciale- 
ment aux cartes bancaires. 
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Description 

PROCEDES ET SYSTEM ES D'AUTHENTIFICATION D 'ACCREDITATIONS OU DE MESSAGES A APPORT NUL DE 

CONNAISSANCE ET DE SIGNATURE DE MESSAGES 



La presente invention a pour objet des procedes 
et des systemes d'authentification d'accreditations 5 
ou de messages a apport nul de connaissance et un 
procede de signature de messages. 

L'invention trouve de nombreuses applications 
dans la verification de Pauthenticite de cartes 
bancaires dites "a puces" ou plus generalement de 10 
Pauthenticite de tout support permettant a son 
detenteur de commander un acces, (a un local, a un 
coffre, a une banque de donnees, a un systeme 
informatise, a une ligne telephonique, etc.). Elle 
s'applique egalernent a la verification de Pauthenti- 75 
cite de messages de toute nature, ces messages 
pouvant commander une ouverture ou une ferme- 
ture, Penclenchement ou Parret d'un systeme, la 
commande de la mise a feu d'un engin, lacommande 
d'un satellite, le declenchement d'une alerte etc... 20 
Enfin, ['invention permet de signer des messages de 
telle maniere que leurs destinataires soient assures 
de leur provenance, et puissent a leur tour convain- 
cre un tiers sur cette provenance. 

L'invention s'appuye sur deux branches de la 25 
cryptographie qui sont respectivement la cryptogra- 
phie a cle revelee (ou a cle publique) et les 
procedures de verification a apport nul de connais- 
sance. Bien que invention ne concerne pas un 
procede de chiffrement, il n'est pas inutile de 30 
rappeler en quoi consistent ces deux techniques. 

De tout temps le maintien du secret des communi- 
cations a ete une preoccupation. Aujourd'hui que les 
systemes de telecommunications proliferent, il est 
devenu un probleme majeur. De ce fait, les techni- 35 
ques de chiffrement et de dechiffrement ont pro- 
gresse considerablement ces dernieres annees. Ce 
progres a d'ailleurs ete encore accelere par Pavene- 
ment des calculateurs, qui ont permis d'elaborer des 
cryptosystemes a hautes performances. 40 

Dans un cryptosysteme, un message M, dit 
message en clair, est transforme a Paide d'une cle E, 
pour donner un message E(M) dit message chiffre. 
A la cle E correspond une cle inverse D qui permet 
de retrouver le message en clair par une transforma- 45 
tion inverse : D(E(M)) = M. 

Dans les techniques traditionnelles les deux cles 
E et D sont tenues secretes et ne sont connues que 
des seuls interlocuteurs. 

Cependant, un cryptosysteme original a ete 50 
developpe ces dernieres annees, dans lequel la cle 
de chiffrement n'est plus tenue secrete mais est, au 
contraire, revelee. Paradoxal ement, cette revelation 
n'affaiblit en rien la securite du systeme. En effet, il 
se trouve que le chiffrement utilise une fonction telle 55 
que la connaissance de la cle E ne permet pas, dans 
la pratique, de retrouver la cle D de dechiffrement. 
On parle alors, de maniere imagee, d'une fonction 
"trappe" pour la fonction de chiffrement, fonction qui 
est particulierement difficile a inverser, sauf pour 60 
celui qui connart la valeur de la trappe. 

Les principes generaux de ces systemes ont ete 
decrits dans Particle de W. DIFFIE et M. HELLMANN 



intitule "New Directions in Cryptography" publie 
dans IEEE, Transactions ou Information Theory, vol. 
IT-22, pp 644-654, Nov. 1976. 

On peut aussi consulter a ce sujet Particle de M. 
HELLMAN intitule The Mathematics of Public-Key 
Cryptography" publie dans Scientific American 
d'Aout 1979, vol.241, n°2, pp 130-139 ou sa 
traduction francaise dans Pedition de "Pour la 
Science" sous le titre "Les Mathematiques de la 
Cryptographie a clef revelee", Octobre 1979, vol. 
n°24, pp 114-123. 

Les principes theoriques de la cryptographie a 
cle revelee ont pu etre mis en application de maniere 
particulierement efficace dans un systeme dit RSA 
(des initiates de ses inventeurs Ronald RIVEST - Adi 
SHAMIR et Leonard ADLEMAN). Ce systeme est 
decrit dans Particle de Martin GARDNER intitule "A 
new kind of cipher that would take millions of year to 
break" publie dans Scientific American, Aout 1977, 
pp. 120-121. Dans le systeme RSA la fonction trappe 
est la factorisation d'un nombre en elements 
premiers. On sait que ['operation de factorisation est 
I'une des plus difficiles de Parithmetique. Par 
exemple pour trouver, a la main, les facteurs 
premiers d'un nombre modeste a 5 chiffres comme 
29 083, il faut quelques minutes. Ces nombres sont 
127 et 229. Mais Pobtention du produit de 127 par 
229 ne prend que quelques secondes. L'asymetrie 
d'une telle operation est done flagrante. Naturelle- 
ment, le recours a un ordinateur accelere la 
factorisation mais il demeure que, pour factoriser un 
nombre de deux cents chiffres, meme en mettant 
ensemble les ordinateurs les plus puissants ordina- 
teurs. 

En pratique done, on ne sait pas factoriser un tres 
grand nombre. 

Ces proprietes sont exploitees dans le systeme 
RSA de la maniere suivante. On choisit deux 
nombres premiers distincts, soit a et b, et on en 
forme le produit, soit N = a.b. On choisit egalernent 
un entier p, qui est premier avec le plus petit 
commun multiple de (a-1) et (b-1). Pour chiffrer un 
message, prealablement mis sous forme numerique 
M, M etant compris entre 0 et N-1, on calcule la 
puissance pieme de M dans Panneau des entiers 
modulo N, soit C = M P mod N. (On rappelle que la 
valeur d'un entier x modulo un entier y est egale un 
reste de la division de x par y ; ainsi, 27 modulo 11 
est egal a 5, car 27 divise par 1 1 donne 5 comme 
reste). La fonction "elever a la puissance p modulo 
N" definit alors une permutation des entiers de 0 a 
N-1. 

Pour dechiffrer un message tel que C il faut 
extraire la racine pieme du message chiffre C dans 
Panneau des entiers modulo N. On montre que cette 
operation revient a elever le nombre C a la puissance 
d, d etant Pinverse de Pexposant p modulo le plus 
petit commun multiple des nombres (a-1) et (b-1). Si 
Pon ne connait pas les facteurs premiers a et b, ia 
determination de d est impossible et avec elle, 



2 



DOCID:<EP 0311470A1 I > 



3 EP 0 311 470 A1 



4 



I'operation de dechiffrement. 

Par exemple, en choisissant A =47 et b = 59, on 
obtient N=47 .59 = 2773, On peut prendre p = 17. La 
cle de codage est done definie par les deux nombres 
2773 et 17 (naturellement, dans la pratique, les 
nombres utilises sont beaucoup plus grands que 
dans cet exemple). 

Le codage d'un mot M se presentant sous forme 
du nombre 920 s'effectue par ('operation suivante : 
c = 920 17 mod 2773 
soit C = 948 mod 2773. 

Inversement, pour dechiffrer le nombre 948, on 
utilisera un exposant d inverse de 17 modulo 1334 
qui est le ppcm de 46 et 58. Cet exposant d est 157 
car 157.17 = 2669 soit 1 modulo 1334. Dechiffrer 948 
revient done a calculer 948 1 57 mod 2773 soit 920, ce 
qui est bien le message initial. 

Ainsi, dans le systerne RSA, les nombres N et p 
peuvent ils etre publics (on parle alors de la 
"puissance publique p"), mais les nombres a et b 
doivent rester secrets. 

Naturellement, il est toujours possible d'utiliser 
plus de deux facteurs premiers pour constituer le 
nombre N. 

Le systerne RSA est decrit dans le brevet des 
Etats-Unis d'Amerique N°4 J 405,829 delivre le 20 
Septembre 1983. 

Un tel systerne peut non seulement servir a 
chiffrer mais aussi a signer un message. 

Dans le contexte de la signature de messages une 
entite censee emettre des messages M, entite 
appelee signataire, est reputee travail ler avec une 
cle publique (N, p). Cette entite, pour signer ses 
messages avant emission, y ajoute une redondance 
pour obtenir un element de I'anneau des entiers 
modulo N, puis eleve cet element a la puissance d 
(inverse de p) modulo N. L'entite en question, 
detenant les parametres*secrets de la cle publique, 
e'est-a-dire les deux facteurs premiers a et b, 
connait d. Le message signe est done 
S = [Red(M)] d mod N. 

Pour verifier la signature, le destinataire du 
message utilise la cle publique {N, p) attachee a 
I'entite emettrice et calcule S p mod N, ce qui, par 
hypothese redonne I'element codant le message M 
avec sa redondance. En retrouvant la redondance le 
destinataire en conclut ainsi que le message n'a pu 
etre envoye que par I'entite qui pretend I'avoir fait, 
puisque seule, celle-ci, etait capable de traiter le 
message de cette maniere. 

Naturellement, les deux operations de chiffrement 
et de signature peuvent se combiner. Dans ce cas, 
I'emetteur commence par signer son message en 
utilisant sa cle secrete ; puis il le chiffre en utilisant la 
cle publique de son correspondant. A la reception, le 
correspondant dechiffre le message a I'aide de sa 
cle secrete, puis authentifie le message en utilisant 
le cle publique de I'emetteur. 

Ces techniques de cryptographie conduisent ainsi 
a des methodes d'authentification (d'un support, 
d'un message, etc.). Pour exposer plus en detail 
cet aspect, qui est au coeur de I'invention, on 
prendra comme exemple I'authentification des 
cartes bancaires dites "a puce", sans que cela 
constitue naturellement en quoi que ce soit une 



limitation de la portee de I'invention. Le procede. 
decrit ci-apres est utilise dans les cartes bancaires 
a puce emises aujourd'hui en France et en Norvege, 
la generalisation des puces dans les cartes ban- 
5 caires est en cours dans ces deux pays. 

Une carte bancaire a puce possede une identite, 
qui est constitute par un enchainement d'informa- 
tions telles que le numero de serie de la puce, le 
numero du compte bancaire, une periode de validite 

10 et un code d'usage. La carte peut donner, sur 
demande, ces informations d'identite, qui se presen- 
ted sous forme d'une suite de bits formant un mot I. 

A I'aide de regies de redondance, on peut 
constituer un nombre J deux fois plus long que I 

15 qu'on notera par la suite Red(l) = J. Par exemple, si 
le nombre I s'ecrit sous forme de quartets, chaque 
quartet peut etre complete par un quartet de 
redondance de maniere a former autant d'octets de 
type a codage de HAMMING. Le nombre J est 

20 appele souvent I'identite "ombragee" (I'ombre etant 
constitute en quelque sorte par ia redondance qui 
accompagne I'identite). 

L' Organisation Internationale de Normalisation 
(ISO) a precise ces questions dans la note ISO/ 

25 TC97/SC20/N207 intitulee "Digital Signature with 
Shadow" devenue avant projet de norme DP9796. 

L'autorite habilitee a delivrer de telles cartes, en 
I'occurrence la banque, choisit un systerne a cle 
publique (N, p). Elle publie les nombres N et p mais 

30 garde secrete la factorisation de N. L'identite 
ombragee J de chaque carte est alors consideree 
comme un element de I'anneau des entiers modulo 
N. La banque peut en extraire la racine p ieme dans 
cet anneau (ce qui, comme expose plus haut, 

35 necessite la connaissance des facteurs premiers de 
N, ce qui est le cas). Ce nombre, note par la suite A, 
est en quelle que sorte I'identite de la carte signee 
par la banque. On I'appelle "accreditation". On a 
done par definition A=J 1/p mod N. 

40 Authentifier une accreditation revient alors a lire 
I'identite de la carte, soit sous la forme simple I, soit 
sous la forme ombragee J, puis a lire ['accreditation 
A dans la carte, a elever celle-ci a la puissance p 
dans I'anneau des entiers modulo N (ce qui est 

45 possible puisque les parametres N et p sont connus) 
et a comparer enfin le resultat, soit A p mod N, a J. Si 
A p mod N est egal a J alors Taccreditation A est 
authentique. 

Si cette methode permet de detecter des fausses 

50 cartes dont les identites auraient ete elaborees de 
maniere fantaisiste, elle presente neanmoins un 
inconvenient qui est celui de reveler I 'accreditation 
des cartes authentiques. Un verificateur peu scrupu- 
leux pourrait done reproduire des cartes identiques 

55 a celle qu'il vient de verifier (cartes que I'on pourrait 
appeler des "clones") en reproduisant I'accredita- 
tion qu'il a lue dans la carte authentique. 

Or, I'authentification d'une accreditation ne re- 
quiert pas, en toute rigueur, la communication de 

60 celle-ci au verificateur, mais seulement I'etablisse- 
ment d'une conviction que la carte dispose d'une 
accreditation authentique. Le probleme est done 
finalement de demontrer que ia carte detient une 
accreditation authentique, sans reveler celle-ci. 

65 Ce probleme, qui semble insoluble a premiere 
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vue, peut cependant etre resolu par une procedure 
dite de preuve par apport nul de connaissance 
f zero-knowledge proof). Dans une telle procedure, 
Pentite qui tente d'apporter la preuve (et que Ton 
appellera par la suite le "verifie") et Pentite qui attend 
cette preuve (et qu'on appellera le "verificateur") 
adoptent un comportement interactif et probabiliste. 

Cette technique a ete decrite par Shafi GOLD- 
WASSER, Silvio MICALI et Charles RACKOFF dans 
leur communication au "17th ACM Symposium on 
Theory of Computing" qui s'est tenu en Mai 1985, 
communication intitulee "The Knowledge Complexi- 
ty of Interactive Proof Systems* et publiee dans les 
Comptes Rendus pp.291-304. Les premiers exem- 
ples ont ete trouves en theorie des graphes. 

Adi SHAMIR a pense le premier a utiliser ce 
procede en theorie des nombres et on pourrait 
I'appliquer aux cartes a puces de la maniere 
suivante. Ce procede, que Ton appellera par la suite 
procede S, est le suivant. 

Au debut de la transaction d'authentification, la 
carte proclame son identite I. Les regies de 
redondance connues de tous, perrnettent de de- 
duire J, deux fois plus long que I, qui correspond a 
Pidentite ombragee. La carte et le veriticateur 
connaissent tous deux les nombres N et p publies 
par Pemetteur de cartes, mais seul ce dernier 
dispose de la factorisation du nombre N, qui est 
reformation de trappe utilisee pour calculer les 
accreditations. 

La transaction d'authentification se poursuit en 
repetant le traitement suivant : 

- la carte tire au hasard un element r de Panneau des 
entiers modulo N, en calcule la puissance p ieme (r p 
mod N) dans i'anneau, et transmet cette puissance 
au verificateur en guise de titre T pour iteration ; 

- le verificateur tire au hasard un bit d (0 ou 1) (ou si 
I'on veut, lire a pile ou face) pour demander a la carte 
en guise de temoin t : pour pile I'element r, et pour 
face le produit de I'element r par Paccredition dans 
Panneau (r.A mod N) ; autrement dit, dans Pincerti- 
tude du tirage le verifie doit tenir disponible r et r.A 
mod N ce qui implique la connaissance de A ; 

- le verificateur eleve le temoin t a la puissance p 
modulo N pour retrouver : pour pile, le test T, et pour 
face le produit dans Panneau du titre T par Pidentite 
ombragee J. 

Ainsi, d'une part, if faut disposer de Paccreditation 
A pour posseder simultanement les deux valeurs 
possibles du temoin t, soit r et rA. D'autre part, le 
verifie ne peut deduire de cette transaction la valeur 
A de Paccreditation car, meme s'il demande au 
verifie de lui fournir rA, il ne connait pas r, qui a ete 
tire au hasard par le verifie (le verificateur connait 
bien r p , fourni comme titre par le verifie, mais il est 
incapable d'en extraire la racine p ieme modulo N, 
puisqu'il ne connait pas la factorisation de N). 

Le verifie qui ne serait pas detenteur d'une 
accreditation authentique pourrait bluffer en tentant 
de deviner le tirage du verificateur. S'il parie sur °0" 
("pile") il estime que le verificateur elevera le titre a la 
puissance p modulo N et que le verificateur 
comparera le resultat obtenu au titre T. Pour 
convaincre le verificateur, le verifie devra fournir 
comme titre T le temoin eleve a la puissance p. Si le 



bluffeur parie au contraire sur "1" ("face") il estime 
que le verificateur elevera le titre a la puissance p et 
multipliera ensuite le resultat obtenu par J. II lui faut 
done, pour convaincre, transmettre comme titre T, le 
5 temoin eleve a la puissance p multiplie par J. 

Autrement dit, le verifie a une chance sur deux de 
donner une bonne reponse s'il renverse la chronolo- 
gie des evenements, e'est-a-dire s'il determine non 
pas d'abord le titre T puis le temoin t, mais s'il parie 

10 sur le tirage du verificateur et s'il constitue le titre a 
posteriori a Paide d'un temoin tire au hasard. 

Dans ce processus probabiliste, les chances du 
verifie de deviner la bonne reponse sont de une sur 
deux a chaque traitement, de sorte qu'en repetant 

15 ce traitement k fois, les chances du bluffeur tombent 
a 1/2 k . Le facteur de securite de ce procede 
d'authentification est done de 2 k . En pratique, k est 
de Pordre de 16 a 24. 

Dans un tel procede le nombre p est petit, par 

20 exemple 3. On peut aussi utiliser 2, mais dans ce cas 
certaines precautions doivent etre prises dans le 
choix des facteurs premiers du nombre N pour que 
la fonction "eleve r au carre modulo N" soit une 
permutation sur les residus quadratiques de Pan- 

25 neau des entiers modulo ISL Les nombres a et b 
doivent etre des entiers de la forme 4x+3 ; on 
rappelle que les residus quadratiques sont des 
elements qui sont des carres dans Panneau et 
Pidentite ombragee J doit pouvoir etre modifiee en 

30 un residu quadratique representatif avant de calculer 
Paccreditation. Cette solution est decrite dans le 
document deja cite ISO/TC97/SC20/N207. D'autres 
solutions existent cependant. 

L'entier N, comme dans les cartes bancaires 

35 aujourd'hui, peut etre de la forme N = K4-2 320 ou K 
est un entier de 240 bits publie et connu de tous les 
terminaux. Seul Pemetteur de cartes dispose de la 
factorisation de N. II est tout de meme conseille de 
prendre des nombres composes plus grand. 

40 L'identite I, comme dans les cartes bancaires 
aujourd'hui, peut etre un motif de 160 bits, obtenu 
par le chainage d'un numero de serie de la puce de 
44 bits, d'un numero de compte bancaire de 76 bits, 
d'un code d'usage de 8 bits et d'une periode de 

45 validite de 32 bits. Lldentite ombragee presente 
alors 320 bits. L'accreditation est alors la racine 
cubique de ce mot, modulo N. C'est un nombre de 
320 bits. 

Un perfectionnement de cette technique consiste 

50 a utiliser non pas Paccreditation elle-meme A 
(A p mod N = J) mais son inverse, note B. On a alors 
B P J mod N = 1 ce qui permet de simplifier la 
comparaison du titre et du temoin. En effet, il suffit 
alors de transmettre un temoin egal a r(dB-d + 1) 

55 (qui est egal soit a r si d = 0 soit a rB si d = 1 et de 
calculer t p (dJ-d -f 1 ) mod N pour trouver le titre T. Ce 
dernier peut alors n'etre transmis que partiellement, 
par exemple sous forme d'une centaine de ses bits 
ou encore mieux apres une compression par une 

60 fonction a sens unique. 

On rappelle qu'une fonction de compression fait 
correspondre a un ensemble de n elements un 
ensemble de m autres elements, m etant inferieur a 
n et tel qu'il sont pratiquement impossible de 

65 localiser deux elements ayant meme image. 



4 



JDOCID: <EP 0311470A1J_> 



f 



EP 0 311 470 A1 



8 



La figure 1 annexee a la description illustre ce 
procede. Les fleches allant de gauche a droite 
represented une transmission du verifie vers le 
verificateur (identite I, titre T, temoin t) et les fleches 
allant de droite a gauche une transmission dans le 
sens inverse (bit d tire au hasard). Un tirage au 
hasard est represents par un cercle associe a un 
point d'interrogation. Le signe e signifie "appartient 
a" et les nombres entre accolades designers 
['ensemble des entiers compris entre les deux 
bornes indiquees, bornes comprises. La comparai- 
son finale decidant de I'authenticite de I'accredita- 
tion est schematisee par un signe egal surmonte 
d'un point d'interrogation. Le tirete marque un 
ensemble d'operations effectuees k fois (iteration). 

II a ete propose recemment un procede encore 
plus perfectionne, qui utilise des accreditations 
multiples. Ce procede a ete decrit dans la communi- 
cation de Amos FIAT et Adi SHAMIR, publiee dans le 
Compte Rendu de CRYPTO 1 86. Santa Barbara. CA, 
USA, August 1986, communication intituiee : "How 
to Prove Yourself : Practical Solutions to Identifica- 
tion and Signature Problems" , Springer Verlag, 
lecture Notes in Computer Science, N°263, 
pp.186-194. 

En notant dans la carte plusieurs accreditations, 
on augmente i'efficacite du traitement, et on reduit le 
nombre d'iterations necessaires pour atteindre un 
niveau donne de securite vis-a-vis de la chance 
laissee au bluffeur. Dans cette methode de diversifi- 
cation, on produit n identites diversifies 11 , In qui, 
completees par leurs ombres, donnent n identites 
diversifiees ombragees J1, Jn. La carte contient 
les n accreditations inverses B1, .... Bn qui verifient 
les relations Ji.Bi p mod N = 1. 

Dans ce procede, que Ton notera FS, chaque 
traitement ou iteration devient alors le suivant (en 
prenant 2 pour exposant public) : 

- la carte tire au hasard un element r dans I'anneau 
des entiers modulo N, puis transmet au verificateur 
128 bits du carre de cet element en guide de titre T ; 

- le verificateur tire au hasard un mot de n bits soit 
b1, .... bn, qu'il transmet a la carte ; 

- la carte calcule alors le produit de I'element r par 
les accreditations inverses designees par les bits a 
"1" dans le mots de n bits b1, bn. Et la carte 
transmet en guise de temoin la valeur t ainsi 
obtenue : 

t = r.(b1.B1-b1+1) (bn.Bn-bn + 1) mod N 

- le verificateur teste ce temoin t en relevant au 
carre dans I'anneau, puis en multipliant ce carre par 
les identites ombragees diversifiees designees par 
les bits a "1" du mot de n bits, 

soit : tP.(b1.J1-b1 + 1) (bn.Jn-bn + 1) mod N 

L'authenticite est prouvee si Ton retrouve les bits 
publies du titre T. 

N'importe qui pourrait tirer au hasard un temoin t, 
puis, dans Panneau, elever au carre ce titre et 
multiplier par une selection d'identites diversifiees 
pour constituer apres coup un titre T. En effet, en 
donnant ce titre au debut du traitement, si la 
question posee est bien la selection escomptee, 
alors le temoin t est une reponse acceptable qui 
authentifie la carte. 

II y a done bien une stategie gagnante pour le 



devin qui connatt a I'avance le tirage du verificateur. 

Pour passer avec succes une iteration, le bluffeur 
doit, cette fois, deviner un mot de n bits et non plus 
un seul bit comrhe dans le procede GMR. Si les 2 n 
5 valeurs sont equiprobables, le produit de la multipli- 
city des accreditations (n) par le nombre des 
iterations (k) reduit exponentieliement les chances 
laissees au bluffeur. Le facteur de securite de la 
transaction d'authentification est alors 2 kn . 
10 A chaque iteration, le verifie transmet par exemple 
128 bits (par exemple un quart des 512 bits) et un 
element de I'anneau, et le verificateur transmet n 
bits. A chaque iteration, le verificateur et la carte 
calculent un carre et font un nombre de multiplica- 
15 tions egal au nombre de bits a "1" dans le mot de n 
bits (poids de HAMMING). 

Comme autre compromis entre efficacite de 
('iteration et nombre maximum de multiplications a 
effectuer durant I'iteration on peut limiter le nombre 
20 de bits a 1 dans le mot de n bits. 

On pourra consulter a propos de cette technique, 
le compte rendu de la communication de Amos FIAT 
et Adi SHAMIR au "5e Congres Mondial de la 
Protection et de la Securite Informatique et des 
25 Communications" qui s'est tenu a Paris les 4-6 Mars 
1987 sous le titre "Unforgeable Proofs of Identity". 

La figure 2 annexee illustre schematiquement ce 
procede FS, avec les memes conventions que pour 
la figure 1. 

30 Ces procedes d'authentification d'accreditation 
peuvent se transposer aisement a I'authentiffcation 
d'un message emis par une entite censee etre 
accreditee. Dans ce cas, le titre T transmis par le 
verifie n'est plus forme uniquement par rP mod N, 

35 comme dans le cas precedent, mais aussi par le 
message m a authentifier. Plus precisement, le 
resultat par une fonction de compression, notee f, 
dont les arguments sont m et r p mod N. 

Les figures 3 et 4 schematisent ces procedes 

40 dans le cas des techniques S et FS. 

enfin, ces techniques peuvent egalement servir a 
signer un message. La fonction de compression 
joue alors le role assigne au tirage du verificateur. 
Plus precisement, dans le procede de type S, le 

45 signataire tire k elements r dans I'anneau des entiers 
modulo N, soit R1, R2, .... rk, qui vont jouer le role 
des differents r tires au cours des k iterations. Le 
signataire eleve ces entiers au carre mod N et 
calcule la fonction de compression f(m, r 2 mod N, ... 

50 rk 2 mod N) ce qui foumit un nombre D ayant pour 

bits d1 , d2 dk. Chaque bit di de ce nombre joue le 

role que jouait le bit tire au hasard dans le procede 
d'authentification d'accreditation decrit plus haut. Le 
signataire forme alors k titres ti = riB dl mod N, avec 

55 i — 1,2...k. Le message signe est alors constitue par 
un multiplet forme par m, I, d1 , dk, t1 , tk. 

Pour verifier un tel message signe on eleve au 
carre les titres ti modulo N et on multiplie chaque 
carre par J 1 * modulo N. On calcule ensuite la fonction 

60 de compression f(m,T1 2 J d1 mod N, .... tk 2 J dk mod N) 
et Ton compare le resultat obtenu avec le nombre D, 
soit avec les bits d1 f d2, dk. 

Dans I'application a la signature de messages, le 
nombre k est plus grand que dans Tauthentification. 

65 II est de I'ordre de 60 a 80. En effet, la verification ne 
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s'effectue plus en temps reel et le fraudeur a done 
tout son temps pour elaborer une fausse signature. 

Les figures 5 et 6 schematisent ce procede dans 
le cas des techniques S et FS. Si toutes ces 
techniques de Tart anterieur conviennent bien en 5 
theorie, elies presentent cependant des inconve- 
nients du point de vue pratique. En particulier, la 
methode FS, avec la multiplicity de ses accredita- 
tions, consomme un espace memoire important. Par 
aiileurs, la necessite d'effectuer une repetition des 10 
traitements allonge la duree des echanges. Enfin, la 
multiplicity des temoins allonge les informations a 
ajouter a un message pour le signer. 

La presente invention a justement pour but de 
remedier a cet inconvenient. A cette fin elle 15 
preconise une technique utilisant une seule accredi- 
tation (et non plus des accreditations multiples) et 
un seul traitement (et non plus une repetition de 
traitements). 

De facon plus precise, la presente invention a 20 
d^abord pour objets une procede d'authentification 
d'une accreditation et un procede d'authentification 
d'un message, procedes qui mettent tous deux en 
oeuyre, d'une part, I'elaboration d'une accreditation 
basee sur le systeme a cle publique et, d'autre part, 25 
une preuve a apport nul de connaissance ; 

a) pour ce qui est de Poperation d'eiaboration 

de 1'accreditation, elle comprend les operations 

connues suivantes : 

- une autorite habiiitee a delivrer des accredita- 30 
tions choisit deux nombres premiers, forme le 
produit (N) de ces deux nombres, tient secrets 

ces nombres qui constituent alors les facteurs 
premiers de N, choisit un entier p et publie N et 
P« 35 

- pour chaque detenteur d'une accreditation, 
une identite numerique I est constitute, puis 
completee par redondance pour former un mot 
J appele identite ombragee, 

- une accreditation A est elaboree par Pautorite 40 
en prenant la racine pieme de I'identite ombra- 
gee dans I'anneau des entiers modulo N, (A p 
modN=J), 

- dans un support approprie contenant une 
memoire, Pautorite charge Pinverse modulo N 45 
de ['accreditation A, soit un nombre B appele 
accreditation inverse (B n J mod N = 1), ce 
nombre B constituant I'accreditation qu'il s'agit 
d'authentifier ; 

^ b) pour ce qui est de I'authentification de 50 
I'accreditation ainsi elaboree, cette operation 
consiste, de maniere elle aussi connue, en un 
processus numerique interactif et probabiiiste 
du type a apport nul de connaissance et 
s'etablissant entre un support contenant une 55 
accreditation, support appele "le verifie" et un 
organe d'authentification appele n le verifica- 
teur", ce processus comprenant au moins un 
traitement numerique constitue par les opera- 
tions connues suivantes : so 

- le verifie tire d'abord du hasard un entier r 
appartenantaPanneau des entiers modulo N, 

- le verifie eleve cet entier r a la puissance p 
modulo N, ie resultat etant appele titre T, 

- le verifie delivre alors au moins une partie des 65 



bits du titre T, 

- le verificateur tire ensuite au hasard un 
nombre D et demande au verifie d'effectuer 
certaines operations sur r et sur I'accreditation 
inverse B, ces operations etant liees au nombre 
D tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

- le verifie delivre au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

- le verificateur effectue a son tour des 
operations portant sur le temoin t delivre par le 
verifie et sur I'identite ombragee J du verifie, 
operations iiees elles aussi au nombre d tire au 
hasard par le verificateur et effectuees dans 
I'anneau des entiers modulo N, 

- le verificateur compare le resultat ainsi obtenu 
avec les bits du titre T que le verifie a delivre en 
debut de processus de verification, et admet 
I'authenticite de I'accreditation s'il retrouve ces 
bits. 

Le procede d'authentification d'accreditation se- 
lon I'invention est caracterise par le fait que : 

a) lors de I'elaboration de I'accreditation (B) 
le nombre p servant a extraire la racine p ieme 
de I'identite ombragee (J) est choisi grand et 
comprend au moins une dizaine de bits, 

b) pour I'authentification de I'accreditation le 
processus ne comprend qu'un seul traitement 
interactif et probabiiiste (et non une repetition 
d'un tel traitement), ce traitement unique 
consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est 
un entier D compris entre 0 et p-1 (bornes 
incluses), 

- I'operation que le verifie effectue pour delivrer 
un temoin t est le produit, dans I'anneau des 
entiers modulo N, de I'element r qu'il a lui meme 
tire au hasard, par la puissance Dieme de 
['accreditation inverse B, le titre etant alors 
t = r.B D mod N, 

- les operations qu'effectue le verificateur sont 
le produit, dans I'anneau des entiers modulo N, 
de la puissance p ieme du temoin t par la 
puissance D ieme de I'identite ombragee J, soit 
tPJ D modN, 

- Poperation de comparaison effectuee par le 
verificateur porte alors sur les bits du titre T 
delivres par le verifie et sur les bits obtenus par 
Poperation precedente, I'authenticite de I'ac- 
creditation etant acquise en un seul traitement 
des lors que tous les bits du titre delivre par le 
verifie sont retrouves par le verificateur dans t p 
J D mod N. 

Pour ce qui est du procede d'authentification de 
message, le procede selon Pinvention est caracte- 
rise par le fait que : 

a) lors de I'elaboration de I'accreditation du 
donneur d'ordre, le nombre p servant a extraire 
la racine p ieme de I'identite ombragee est 
choisi grand et comprend au moins une dizaine 
de bits, 

b) pour I'authentification du message, le 
processus ne comprend qu'un seul traitement 
interactif et probabiiiste (et non une repetition 
d'un te! traitement), ce traitement unique 
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consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est 
un entier D compris entre 0 et p-1 (bornes 
incluses), 

- I'operation que le verifie effectue pour delivrer 
le temoin t est le produit, dans I'anneau des 
entiers modulo N, de Pelement r qu'il a lui meme 
tire, par la puissance Dieme de Paccreditation 
inverse B, le temoin etant alors r.B D mod N, 

- les operations qu'effectue le verificateur sont 
le produit, dans Panneau des entiers modulo N, 
de la puissance p ieme du temoin t, par la 
puissance D ieme de I'identite ombragee J, 

- le verificateur forme la fonction de compres- 
sion du message et du resultat des operations 
precedentes soit f(m, t p J D mod N), 

- la comparaison que le verificateur effectue 
porte alors sur la fonction de compression qu'il 
a obtenue et sur le titre T que le verifie lui a 
delivre en debut de processus de verification, 
Pauthenticite du message etant acquise en un 
seul traitement des lors que, a la fin de ce 
traitement, il y a correspondace entre tous les 
bits de la fonction de compression obtenue par 
le verificateur et les bits du titre delivres par le 
verifie. 

^invention a enfin pour objet un procede de 
signature de message. Dans ce cas {'accreditation 
du signataire est elaboree selon le procede connu a 
cle publique decrit plus haut et la signature consiste 
en un traitement numerique probabiliste connu 
comprenant les operations suivantes : 

- le signataire tire au hasards au moins un entier r 
appartenant a Panneau des entiers modulo N, 

- le signataire eleve cet entier r a la puissance p 
modulo N, 

- le signataire calcule une fonction de compression f 
en prenant comme arguments le message m a 
signer et la puissance r D mod N obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur Paccredi- 
tation inverse B, ces operations etant liees au 
nombre D tire au hasard et etant effectuees dans 
Panneau des entiers modulo N, 

- le signataire transmet le message m, son identite I, 
le mot D, le ou les temoins t, Pensemble constituant 
un message signe. 

Le procede de signature de message selon 
P invention est caracterise par le fait que : 

a) lors de Pelab oration de Pace red itation du 
signataire le nombre p servant a extraire la 
racine p ieme de I'identite ombragee est choisi 
grand et comprend plusieurs dizaines de bits, 

b) pour I'operation de signature du mes- 
sage : 

- le signataire ne tire au hasard qu'un seul entier 
r appartenant a Panneau des entiers modulo N, 

- la fonction de compression a pour arguments 
le message m et la puissance p ieme de r, ce qui 
fournit un nombre D, 

- le titre unique produit par le signataire est le 
produit, dans Panneau des entiers modulo N, de 
Pentier r par la puissance D ieme de Paccredita- 
tion inverse B, 

- le signataire fournit, avec le message m, son 



identite I, le mot D et le titre t. 
Dans ies deux premiers procedes, le nombre p 
comprend au moins 10 bits et de preference entre 16 
et 24 bits. 

5 Dans le procede de signature le nombre p est plus 
grand et comprend plusieurs dizaines de bits, par 
exemple de 60 a 80 bits. 

La valeur de p est en effet le facteur de securite 
d'un traitement elementaire. Si p est convenable 
10 pour le but recherche alors qu'on ne dispose que 
d'une seule accreditation profonde, on peut se 
contenter d'un seul traitement. 

La presente invention a egalement pour objet des 
systemes qui mettent en oeuvre ces procedes. 
15 De toute facon Pinvention sera mieux comprise a 
la lumiere de la description qui va suivre, qui se 
refere a des dessins annexes. Ces dessins com- 
prennent : 

- les figures 1 a 6, deja decrites, qui illustrent 
20 les procedes S et FS de Part anterieur ; 

- la figure 7 illustre le procede d'authentifica- 
tion d'une accreditation selon Pinvention ; 

- la figure 8 illustre le procede d'authentifica- 
tion de message selon Pinvention ; 

25 - la figure 9 illustre le procede de signature de 

message selon Pinvention ; 

- la figure 10 montre schematiquement un 
ensemble permettant de mettre en oeuvre les 
procedes de Pinvention. 

30 Les conventions utilisees dans les figures 7 a 9 
sont les memes que celles des figures 1 a 6. Dans 
tous les cas Paccreditation est obtenue par F utilisa- 
tion d'un nombre p qui est grand. Les inventeurs 
qualifient cette accreditation de "profonde" par 

35 opposition aux accreditations habituelles utilisees 
dans ce domaine pour lesquelles p etait de Pordre 
de 2 ou 3 et qui sont, en quelque sorte "superfi- 
cielles". 

Dans le cas des cartes a puce on a done, dans le 
40 cas de Pinvention, le traitement suivant : 

- la carte tire au hasard un element r (1^r^N-1) 
dans Panneau des entiers modulo N, et donne en 
guise de titre T 128 bits de la puissance publique de 
cet element (r p mod N) ; 

45 - le verificateur tire au hasard un exposant D de 0 a 
p-1 et le transmet a la carte ; 

- la carte calcule le temoin t qui est le produit (dans 
Panneau) de Pelement r par la puissance D ieme de 
Paccreditation B (t = r.B D mod N) ; 

50 - le verificateur calcule dans I'anneau le produit de la 
puissance p ieme du temoin t par la puissance D 
ieme de i'identite ombragee J, soit t p .J D mod N. 

La preuve est aceptee si tous les bits publies du 
titre T sont ainsi retrouves. 

55 N'importe qui ayant devine la question du verifica- 
teur (lexposant D) peut tirer au hasard un temoin t, 
puis faire a Pavance les calculs du verificateur, 
e'est-a-dire faire le produit dans Panneau du temoin t 
a Pexposant p par I'identite ombragee J a Pexposant 

60 D. En donnant le titre T au debut de Piteration, si la 
question posee est bien D, alors le temoin t est une 
reponse acceptable. 

Ce raisonnement indiquant une strategie ga- 
gnante pour le devin montre que Pon ne sait pas 

65 distinguer des donnees provenant de Penregistre- 
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ment d'une transaction reussie et des donnees 
prove nant d 5 une mascarade construite en inversant 
la chronoiogie de ^iteration, c'est-a-dire en choisis- 
sant les exposants avant les titres. Le verificateur 
recueilie des informations impossibles a distinguer 
de celles qu'il aurait pu produire tout seul, sans 
interaction avec le verifie, ce qui montre que 
Taccreditation reste bien secrete dans la carte. 

Pour passer avec succes un traitement d'authen- 
tification, le bluffeur doit deviner un exposant D. Si 
les p valeurs de D sont equiprobables, la chance 
laissee au bluffeur est de 1/p. Le facteur de securite 
est done p. 

Dans un tel traitement le verifie transmet une 
centaine de bits en un element de Tanneau ; le 
verificateur transmet un exposant (D). Pour mener a 
bien un traitement le verifie calcule d'abord la 
puissance publique de Teiement r tire au hasard, 
puis le produit de cet element r par la puissance D 
ieme de Taccreditation B. Le verificateur fait un peu 
moins de calcul pour retrouver le titre T car il peut 
combiner intelligemment les calculs de puissance : 
la puissance Dieme de Tidentite ombragee J et la 
puissance pieme du ternoin t. 

Si Texposant p vaut 2 16 , alors Texposant D est un 
nombre de 16 bits. Ainsi en un seul traitement, avec 
un facteur de securite de 2 16 , soit 65536, le verifie 
calcule dans I'anneau 16 carres, puis 16 carres et 
une moyenne de 8 multiplications. Le verificateur ne 
calcule que 16 carres et procede en moyenne a 8 
multiplications. 

Le procede d'authentification de message est 
illustre sur la figure 8 avec les memes conventions, la 
difference avec la figure 7 consistant uniquement 
dans la formation de la fonction de compression f. 

Pour signer un message, le detenteur de Taccre- 
ditation B de profondeur p commence par tirer au 
hasard un element r dans Tanneau puis calcule la 
puissance publique de Teiement r(rP mod N). Puis il 
produit un exposant D grace a la fonction de 
compression f appliquee a la concatenation du 
message m et de la puissance publique de Teiement 
r. Le temoin t est le produit de Teiement r par la 
puissance Dieme de Taccreditation B. Le message 
signe est la concatenation de Tidentite I, du 
message m, de Texposant d et du temoin t. 

Pour verifier une signature, le verificateur calcule 
dans Tanneau le produit du temoin t a la puissance p 
par Tidentite ombragee J (reconstruite a partir de 
Tidentite proclamee I) a la puissance D pour 
reconstituer ce qui doit etre la puissance publique 
de I'element r. Enfin, le verificateur doit retrouver 
Texposant D en appliqant la fonction f a la concate- 
nation du message m et de la puissance publique 
reconstitute. 

Crest ce qui est illustre sur la figure 9. 

Si p s'ecrit sur 64 bits queiconques, le signataire 
fait environ 192 multiplications dans Tanneau (il doit 
calculer successivement deux puissances avec des 
exposants de 64 bits sans pouvoir les combiner) 
pour mener a bien Toperation. Cette complexity est 
deja nettement inferieure a celle du procede RSA : 
768 multiplications en moyenne pour une exponen- 
tielle modulo un nombre compose sur 512 bits, et 
1536 pour un nombre compose sur 1024 bits. 



5DOCID: <EP 0311470A1_L> 




311 470 A1 14 

Si p s'ecrit sur 64 bits queiconques, le verificateur 
fait seulement environ 112 multiplications, car il 
combine ses operations en 64 carres et trois fois 16 
multiplications en moyenne, pour calculer d'un seul 
5 coup tP.J D mod N. II est heureux que Tauthentifica- 
tion soit plus simple que Telaboration de la signa- 
ture, car chaque signature est appelee a etre verifiee 
piusieurs fois. 
Mais, on peut choisir 2 64 (e'est-a-dire une puis- 

10 sance de 2) comme exposant p pour simplifier les 
calculs, sans modifier la securite du systeme. 
L'elevation a ia puissance p se fait alors par 64 
carres. L'exposant D est un nombre de 64 bits. La 
signature se fait alors en 160 multiplications. La 

15 verification d'une signature se traduit en moyenne 
par 96 multiplications dans Tanneau, soit 12,5% du 
RSA a 512 bits et 6,20/o du RSA a 1024 bits. 

Dans le procede anterieur FS decrit plus haut, 
avec 64 accreditations multiples dans le meme carte, 

20 il faut un carre et une moyenne de 32 multiplications. 
Ainsi, la methode de Tinvention a accreditation 
profonde, se paye par un surplus de calculs d'un 
facteur multiplicatif de Tordre de 3. Quand, dans Tart 
anterieur, on se limite a 8 accreditations dans la 

25 carte, avec 8 temoins dans la signature, (8 iterations 
a 5 multiplications, soit 40 multiplications), le rapport 
diminue encore un peu, en faveur de Tinvention. 

Bien entendu, on peut aussi choisir 2 66 + 1 
comme exposant public (e'est-a-dire un nombre 

30 impair). Au prix d'une seule multiplication supple- 
mentaire pour calculer une puissance publique, on 
leve ainsi certaines restrictions relatives aux residus 
quadratiques dans Tanneau (lorsque Texposant p 
est pair, piusieurs elements de I'anneau pouvant 

35 correspondre a la racine pieme, mais un seul 
convenant). 

La figure 10 represente schematiquement un 
calculateur permettant de mettre en oeuvre Tinven- 
tion. 

40 Le calculateur represente comprend une interface 
entrees-sorties ES, une unite centrale UC, une 
rnemoire programmable du type a lecture seulement 
(PROM), une rnemoire a lecture seulement (ROM) et 
une rnemoire a acces direct (RAM). Le calculateur 

45 comprend encore un organe G du type generateur 
de bruit ou generateur aleatoire. 

L'accreditation et les informations d'identite ins- 
crites dans la rnemoire PROM inaccessibles de 
Texterieur. Les programmes sont inscrits dans la 

50 rnemoire ROM. La rnemoire RAM sert a stocker des 
resultats de calcul. Le generateur G est utilise pour 
les tirages au sort des divers nombres intervenant 
dans le procede (r, D). 

L'unite centrale et les memoires peuvent etre 

55 structurees comme le microcalculateur autopro- 
grammable monolithique decrit dans le brevet 
4,382,279 des Etats-Unis d'Amerique. 

La fonction de compression peut faire appel a 
Talgorithme DES (Data Encryption Standard). II 

60 existe une carte a puce, fabriquee par PHILIPS qui 
realise cet algorithme DES. 
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Revendications 



1. Procede d'authentification d'une accredi- 
tation a apport nul de connaissance, 

a) cette accreditation ayant ete elaboree par un 
procede du type a cle publique comprenant les 10 
operations suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit (N) de ces deux nombres, tient secrets 

ces nombres, choisit un entier p et publie N et 15 

p; 

- pour chaque detenteur d'une accreditation, 
une identite numerique I est constitute, puis 
completee par redondance pour former un mot 

J appeie identite ombragee, 20 

- une accreditation A est elaboree par Tautorite 
en prenant la racine pieme de I'identite ombra- 
gee dans I'anneau des entiers modulo N 
(A = J 1/p mod N), 

- dans un support approprie contenant une 25 
memoire, I'autorite charge ('inverse modulo N 

de ['accreditation A soit un nombre B appeie 
accreditation inverse (B n J mod N = 1), ce 
nombre B constituant Taccreditation qu'il s'agit 
d'authentifier, 30 

b) I'authentification de Taccreditation ainsi 
elaboree, consistant en un processus numeri- 
que interactif et probabiliste du type a apport 
nul de connaissance et s'etablissant entre un 
support contenant une accreditation, support 35 
appeie "le verifie" et un organe d'authentifica- 
tion appeie "le verificateur", ce processus 
comprenant au moins un traitement numerique 
constitue par les operations connues sui- 
vantes : 40 

- le verifie tire d'abord au hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eleve cet entier r a la puissance p 
modulo N, le resultat etant appeie titre T, 

- le verifie delivre alors au moins une partie des 45 
bits du titre T, 

-le verificateur tire ensuite au hasard un 
nombre (d) et demande au verifie d'effectuer 
certaines operations sur r et sur Taccreditation 
inverse B, ces operations etant liees au nombre 50 
(d) tire au hasard par le verificateur et effec- 
tuees dans I'anneau des entiers modulo N, 

- le verifie delivre au verificateur un nombre t, 
appeie temoin, resultat de ces operations, 

- le verificateur effectue a son tour des 55 
operations portant sur le temoin t delivre par le 
verifie et sur I'identite ombragee J du verifie, 
operations liees elles aussi au nombre d tire au 
hasard par le verificateur et effectuees dans 
I'anneau des entiers modulo N, 60 

- le verificateur compare le resultat ainsi obtenu 
avec les bits du titre T que le verifie a delivre en 
debut de processus de verification, et admet 
rauthenticite de Taccreditation s'il retrouve ces 

bits, 65 



ce procede etant caracterise par le fait que : 

a) lors de ['elaboration de ('accreditation 
(B) le nombre p servant a extraire la racine 
p ieme de I'identite ombragee (J) est choisi 
grand et comprend au moins une dizaine 
de bits, 

b) pour I'authentification de ('accredita- 
tion le processus ne comprend qu'un seul 
traitement interactif et probabiliste (et non 
une repetition d'un tel traitement), ce 
traitement unique consistant dans les 
operations suivantes : 

- le nombre que le verificateur tire au . 
hasard est un entier D compris entre 0 et 
p-1 (bornesincluses), 

- I'operation que le verifie effectue pour 
delivrer un temoin t est le produit, dans 
I'anneau des entiers modulo N, de I'ele- 
ment r qu'il a lui meme tire au hasard, par la 
puissance Dieme de Taccreditation inverse 
B, le titre etant alors t = r.B D mod N, 

- les operations qu'effectue le verificateur 
sont le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t par la puissance D ieme de 
I'identite ombragee J, soit t p J D mod N, 

- I'operation de comparaison effectuee 
par le verificateur porte alors sur les bits du 
titre T delivres par le verifie et sur les bits 
obtenus par I'operation precedente, T au- 
thenticity de Taccreditation etant acquise 
en un seul traitement des lors que tous les 
bits du titre delivre par le verifie sont 
retrouves par le verificateur dans t p J D mod 
N. 

2. Procede d'authentification d'un message, 
ce message provenant d'un donneur d'ordre 
cense etre accredite : 

a) Taccreditation d'un donneur d'ordre consis- 
tant en un mot numerique B obtenu par un 
procede a cle publique comprenant les opera- 
tions suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombre premiers, forme le 
produit N de ces deux nombres, tient secrets 
ces deux nombres, choisit un entier p et publie 
Net p, 

- pour chaque donneur d'ordre une identite 
numerique I est constitute puis completee par 
redondance pour former un mot J appeie 
identite ombragee, 

- une accreditation A est elaboree par Tautorite 
en prenant la racine p ieme de I'identite 
ombragee J dans I'anneau des entiers modulo 
N, (A - J 1/ p mod N), 

- dans un support approprie detenu par le 
donneur d'ordre Tautorite charge T inverse mo- 
dulo N de Taccreditation A, soit un nombre B 
appeie accreditation inverse (B p J mod N = 1), 

b) Tauthentification d'un message (m) emis par 
un donneur d'ordre ainsi accredite consistant 
en un processus numerique interactif et proba- 
biliste du type a apport nul de connaissance et 
s'etablissant entre le support du donneur 
d'ordre cense accredite et appeie "le verifie" et 
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un organ e de verification appele "le verifica- 
teur", ce processus comprenant au moins un 
traitement numerique constitue par les opera- 
tions suivantes : 

- le verifie tire d'abord au hasard un entier r 
appartenant a i'anneau des entiers modulo N, 

- le verifie eleve cet entier r a la puissance p 
modulo N et calcule un resultat par une fonction 
de compression en prenant comme argument 
le message m et mod N, soit f (m, mod N), le 
resultat etant appele titre T, 

- le verifie delivre alors au moins une partie des 
bits de titre T, 

- le verificateur tire ensuite au hasard un 
nombre d et demande au verifie d'effectuer 
certains operations sur r et sur ['accreditation 
inverse B, ces operations etant liees au nombre 
d tire au hasard par le verificateur et etant 
effectuees dans I'anneau des entiers modulo N, 

- le verifie fournit au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

- le verificateur effectue a son tour des 
operations portant sur le temoin t delivre par le 
verifie et sur I'identite ombragee J du verifie, 
operations liees elles aussi au nombre D tire au 
hasard par le verificateur et effectuees dans 
I'anneau des entiers modulo N, 

- le verificateur forme une fonction de compres- 
sion en prenant comme arguments le message 
a authentifier m et le resultat des operations 
precedentes, soitf(m, t, J), 

- le verificateur compare la fonction de com- 
pression obtenue avec le titre T que le verifie a 
delivre en debut de processus de verification, 
ce processus etant caracterise par le fait que : 

a) lors de ['elaboration de I'accreditation 
du donneur d'ordre, le nombre p servant a 
extraire la racine p ieme de I'identite 
ombragee est choisi grand et comprend au 
moins une dizaine de bits, 

b) pour I'authentification du message, le 
processus ne comprend qu'un seul traite- 
ment interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traite- 
ment unique consistant dans les opera- 
tions suivantes : 

- le nombre que le verificateur tire au 
hasard est un entier D compris entre 0 et 
p-1 (bornes incluses), 

-Poperation que le verifie effectue pour 
delivrer le temoin t est le produit, dans 
I'anneau des entiers modulo N, de I'ele- 
ment r qu'il a lui meme tire, par la 
puissance Dieme de I'accreditation inverse 
B, le temoin etant alors r.B D mod N, 

- les operations qu 'effectue le verificateur 
sont le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t, par la puissance D ieme de 
I'identite ombragee J, 

- le verificateur forme la fonction de 
compression du message et du resultat 
des operations precedentes soit f(m, t p J D 
mod N), 

- la comparaison que le verificateur effec- 



tue porte alors sur la fonction de compres- 
sion qu'i! a obtenue et sur le titre T que le 
verifie lui a delivre en debut de processus 
de verification, Pauthenticite du message 
5 etant acquise en un seul traitement des 

lors que, a la fin de ce traitement, il y a 
correspondance entre tous les bits de la 
fonction de compression obtenue par le 
verificateur et les bits du titre delivres par 
10 le verifie. 

3. Procede de signature d'un message par 
une entite, cette entite etant censee etre 
accreditee, 

a) I'accreditation d'une entite signataire de 
15 messages ayant ete elaboree par un procede a 

cle publique comprenant les operations sui- 
vantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 

20 produit N de ces deux nombres, tient secrets 

les deux nombres premiers, choisit un entier p 
et publie N et p, 

- pour chaque entite signataire une identite 
numerique I est constitute puis completee par 

25 redon dance pour former un mot J appele 

identite ombragee, 

- une accreditation A est elaboree par I'autorite 
en prenant la racine p ieme de I'identite 
ombragee J dans I'anneau des entiers modulo 

30 N (A = J 1/p mod N), 

-dans un support approprie detenu par le 
signataire I'autorite charge Pinverse modulo N 
de I'accreditation A, soit un nombre B appele 
accreditation inverse (B p J mod N = 1), 

35 b) la signature d'un message m par un 

signataire d'identite I consistant en un traite- 
ment numerique probabiliste comprenant les 
operations suivantes : 

- le signataire tire au hasard au moins un entier r 
40 appartenant a I'anneau des entiers modulo N, 

- ie signataire eleve cet entier r a la puissance p 
modulo N, 

- le signataire calcule une fonction de compres- 
sion f en prenant comme arguments le mes- 

45 sage m a signer et la puissance r p obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur 
I'accreditation inverse B, ces operations etant 
liees au nombre d tire au hasard et etant 

50 effectuees dans I'anneau des entiers modulo N, 

- le signataire transmet le message m, son 
identite I, le mot d, le ou les temoins t, 
Pensernble constituant un message signe, 

ce procede etant caracterise par le fait que : 
55 a) lors de Petaboration de Paccreditation 

du signataire le nombre p servant a extraire 
la racine p ieme de I'identite ombragee est 
choisi grand et comprend piusieurs di- 
zaines de bits, 

60 b) pour Poperation de signature du 

message : 

- le signataire ne tire au hasard qu'un seul 
entier r appartenant a I'anneau des entiers 
modulo N, 

65 - la fonction de compression a pour 
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arguments le message m et le puissance p 
ieme de r, ce qui fournit un nombre D, 

- le temoin unique produit par le signataire 
est le produit, dans I'anneau des entiers 
modulo N, de rentier r par ia puissance D 5 
ieme de I'accreditation inverse B, 

- le signataire fournit, avec le message m, 
son identite I, le mot D et le temoin t. 

4. Systeme d'authentification d'une accredi- 
tation a apport nul de connaissance compre- 10 
nant, 

a) des moyens pour elaborer cette accredita- 
tion par un procede du type a cle publique, ces 
moyens comprenant : 

- chez une autorite habilitee a delivrer des 15 
accreditations des moyens pour cholsir deux 
nombres premiers, pour former le produit (N) 

de ces deux nombres, pour tenir secrets ces 
nombres, pour choisir un entier p et pour 
publier Net p ; 20 

- des moyens pour constituer, pour chaque. 
detenteur d'une accreditation, une identite 
numerique I et pour completer cette identite par 
redondance pour former un mot J appele 
identite ombragee, 25 

- des moyens pour elaborer une accreditation 
A, ces moyens etant aptes a prendre la racine 
pieme de Tidentite ombragee dans I'anneau des 
entiers modulo N (A = J 1/p mod N), 

- un support approprie contenant une memoire, 30 
ou est charge I'inverse modulo N de I'accredita- 

tion A soit un nombre B appele accreditation 
inverse (B n J mod N = 1), ce nombre B consti- 
tuant I'accreditation qu'il s'agit d'authentifier, 

b) des moyens d'authentification de I'accredita- 35 
tion comprenant des moyens pour mettre en 
oeuvre un processus numerique interactif et 
probabiliste du type a apport nul de connais- 
sance et s'etablissant entre un support conte- 
nant une accreditation, support appele "le 40 
verifie" et un organe d'authentification appele 

"le verificateur" , ces moyens comprenant : 

- un moyen dans le verifie pour tirer d'abord au 
hasard un entier r appartenant a I'anneau des 
entiers modulo N, 45 

- un moyen dans le verifie pour elever cet entier 
r a la puissance p modulo N, le resultat etant 
appele titre T, 

- des moyens dans le verifie pour delivrer alors 

au moins une partie des bits du titre T, 50 

- des moyens dans le verificateur pour tirer 
ensuite au hasard un nombre (d) et demander 
au verifie d'effectuer certaines operations sur r 
et sur I'accreditation inverse B, ces operations 
etant liees au nombre (d) tire au hasard par les 55 
moyens du verificateur et effectuees dans 
I'anneau des entiers modulo N, 

- des moyens dans le verifie pour delivrer au 
verificateur un nombre t, appele temoin, resultat 

de ces operations, 60 

- des moyens dans le verificateur pour effectuer 
a son tour des operations portant sur le temoin 
t delivre par le verifie et sur I'identite ombragee 
J du verifie, operations liees elles aussi au 
nombre d tire au hasard par le verificateur et 65 



effectuees dans I'anneau des entiers modulo N, 
- des moyens dans le verificateur pour compa- 
rer le resultat ainsi obtenu avec les bits du titre 
T que les moyens du verifie ont delivre en debut 
de processus de verification, et admettre 
I'authenticite de I'accreditation s'il retrouve ces 
bits, 

ce systeme etant caracterise par le fait que : 

a) dans les moyens pour elaborer I'ac- 
creditation (B) les moyens pour choisir le 
nombre p servant a extraire la racine p 
ieme de Pidentite ombragee (J) sont aptes 
a choisir un nombre grand comprenant au 
moins une dizaine de bits, 

b) dans les moyens pour I'authentifica- 
tion de I'accreditation, les moyens sont 
aptes a n'effectuer qu'un seul traitement 
interactif et probabiliste (et non une repeti- 
tion d'un tel traitement), ces moyens 
consistant alors en : 

- des moyens pour que le nombre que le 
verificateur tire au hasard soit un entier D 
compris entre 0 et p-1 (bornes incluses), 

- des moyens dans le verifie pour delivrer 
un temoin t sont aptes a former le produit, 
dans I'anneau des entiers modulo N, de 
I'element r tire au hasard, par la puissance 
Dieme de I'accreditation inverse B, le titre 
etant alors t = r.B D mod N, 

- des moyens dans le verificateur aptes a 
calculer le produit, dans I'anneau des 
entiers modulo N, de la puissance p ieme 
du temoin t par la puissance D ieme de 
I'identite ombragee J, soit 1* J D mod N, 

- des moyens de comparaison dans le 
verificateur aptes a comparer les bits du 
titre T delivres par les moyens du verifie et 
sur les bits obtenus par I'operation prece- 
dente, I'authenticite de I'accreditation 
etant acquise en un seul traitement des 
lors que tous les bits du titre delivre par le 
verifie sont retrouves par le verificateur 
dans t p J D mod N. 

5. systeme d'authentification d'un message, 
ce message provenant d'un donneur d'ordre 
cense etre accredite, ce systeme comprenant : 
a) des moyens disposes chez un donneur 
d'ordre pour former un mot numerique B 
obtenu par un procede a cle publique et 
comprenant les moyens suivants : 

- des moyens chez une autorite habilitee a 
delivrer des accreditations pour choisir deux 
nombre premiers, pour former le produit N de 
ces deux nombres, pour tenir secrets ces deux 
nombres, pour choisir un entier p et pour 
publier N et p, 

- des moyens pour constituer, pour chaque 
donneur d'ordre, une identite numerique I et 
pour completer par redondance cette identite 
pour former un mot J appele identite ombragee, 

- des moyens pour elaborer une accreditation A 
par I'autorite et pour prendre ia.racine p ieme de 
Tidentite ombragee J dans I'anneau des entiers 
modulo N, (A = J 1 ' p modN), 

- un support approprie detenu par le donneur 
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d'ordre, I'autorite chargeant dans ce support 
I'inverse modulo N de I'accreditation A, soit un 
nombre B appele accreditation inverse (B p J 
modN-1), 

b) des moyens d'authentification d'un message 5 
(m) emis par un donneur d'ordre ainsi accre- 
dits comprenant des moyens de mise en oeuvre 
d'un processus numerique interactif et probabi- 
liste du type a apport nul de connaissance et 
s'etabiissant entre le support du donneur 10 
d'ordre cense accredite et appele "le verifie^ et 
un organe de verification appele "le verifica- 
teur", ces moyens comprenant : 

- des moyens dans le verifie pour tirer d'abord 

au hasard un entier r appartenant a I'anneau des 15 
entiers modulo N, 

- des moyens dans le verifie pour elever cet 
entier r a la puissance p modulo N et calculer un 
resultat par une fonction de compression en 
prenant comme argument le message metrP 20 
mod N, soit f(m, r p mod N), le resultat etant 
appele titre T, 

- des moyens dans le verrfie pour delivrer alors 
au moins une partie des bits du titre T, 

- des moyens dans le verificateur pour tirer 25 
ensuite au hasard un nombre d et demande aux 
moyens du verifie d'effectuer certaines opera- 
tions sur r et sur I" accreditation inverse B, ces 
operations etant liees au nombre d tire au 
hasard par le verificateur et etant effectuees 30 
dans I'anneau des entiers modulo N, 

- des moyens dans le verifie pour fournir au 
verificateur un nombre t, appele temoin, resultat 
de ces operations, 

- des moyens dans le verificateur pour effectuer 35 
a son tour des operations portant sur le temoin 

t delivre par les moyens du verifie et sur 
I'identite ombragee J du verifie, operations liees 
elles aussi au nombre D tire au hasard par le 
verificateur et effectuees dans I'anneau des 40 
entiers modulo N, 

- des moyens dans le verificateur pour former 
une fonction de compression en prenant 
comme arguments le message a authentifier m 

et le resultat des operations precedentes, soit 45 
f(m,t,J), *~ " 

- des moyens dans le verificateur pour compa- 
rer la fonction de compression obtenue avec le 
titre T que le verifie a delivre en debut de 
processus de verification, 50 
ce systeme etant caracterise par le fait que : 

a) dans les moyens d'elaboration de 
I'accreditation du donneur d'ordre, le nom- 
bre p servant a extraire la racine pieme de 
I'identite ombragee est choisi grand et 55 
comprend au moins une dizaine de bits, 

b) dans les moyens d'authentification du 
message, les moyens sont aptes a mettre 
en oeuvre un processus qui ne comprend 
qu'un seui traitement interactif et probabi- 60 
liste (et non une repetition d'un tel traite- 
ment), ces moyens comprenant : 

- des moyens dans le verificateur pour tirer 
au hasard un entier D compris entre 0 et 
p-1 (bornes inciuses), 65 



- des moyens dans le verifie pour delivrer le 
temoin t qui soit le produit, dans I'anneau 
des entiers modulo N, de I'element r qu'il a 
iui merne tire, par la puissance Dieme de 
I'accreditation inverse B, le temoin etant 
alors r.B D modN, 

- des moyens dans verificateur pour effec- 
tuer le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t, par la puissance D ieme de 
I'identite ombragee J, 

- des moyens dans le verificateur pour 
former la fonction de compression du 
message et du resultat des operations 
precedentes soit f (m, t p J D mod N), 

- les moyens de comparison dans le 
verificateur portant alors sur la fonction de 
compression que les moyens du verifica- 
teur ont obtenue et sur le titre T que les 
moyens du verifie Iui ont delivre en debut 
de processus de verification, t'authenticite 
du message etant acquise en un seul 
traitement des lors que, a la fin de ce 
traitement, « y a correspondance entre 
tous les bits de la fonction de compression 
obtenue par le verificateur et les bits du 
titre delivres par le verifie. 

6. Systeme pour signer un message par une 
entite, cette entite etant censee etre accredi- 
tee, ce systeme comprenant, 
a) des moyens pour elaborer une accreditation 
d'une entite signataire de messages, ces 
moyens mettant en oeuvre un procede a cle 
pubiique et comprenant : 

- des moyens chez une autorite habiiitee a 
delivrer des accreditations pour choisir deux 
nombres premiers, pour former le produit N de 
ces deux nombres, pour tenir secrets les deux 
nombres premiers, pour choisir un entier p et 
pour publier N et p, 

- des moyens pour constituer, pour chaque 
entite signataire, une identite numerique I et 
pour completer par redondance cette identite 
pour former un mot J appele identite ombragee, 

- des moyens pour eiaborer une accreditation A 
par I'autorite, ces moyens etant aptes a prendre 
la racine p ieme de I'identite ombragee J dans 
I'anneau des entiers modulo N (A = J 1/ p mod 
N), 

- un support approprie detenu par la signataire 
ou I'autorite peut charger I'inverse modulo N de 
I'accreditation A, soit un nombre B appele 
accreditation inverse (B p J mod N = 1), 

b) des moyens pour constituer la signature d'un 
message m par un signataire d'identite I et 
comprenant : 

- des moyens chez le signataire pour tirer au 
hasard au moins un entier r appartenant a 
Fanneau des entiers modulo N, 

- des moyens chez le signataire pour elever cet 
entier r a la puissance p modulo N, 

- des moyens chez le signataire pour calculer 
une fonction de compression f en prenant 
comme arguments le message m a signer et la 
puissance r p obtenue, 
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- des moyens chez le signataire pour former au 
moins un temoin t en effectuant certaines 
operations sur r et sur I'accreditation inverse B, 
ces operations etant liees au nombre d tire au 
hasard et etant effectuees dans I'anneau des 
entiers modulo N, 

- des moyens chez le signataire pour transrnet- 
tre le message m f son identite I, le mot d, le ou 
les temoins t, Pensemble constituant un mes- 
sage signe, 

ce systeme etant caracterise par le fait que : 

a) dans les moyens d'elaboration de 
I'accreditation du signataire les moyens 
pour choisir le nombre p servant a extraire 
la racine p ieme de ('identite ombragee 
sont aptes a choisir un nombre grand 
comprenant plusieurs dizaines de bits, 

b) dans les moyens pour Toperation de 
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signature du message : 

- les moyens du signataire ne tirent au 
hasard qu'un seul entier r appartenant a 
I'anneau des entiers modulo N, 

- les moyens de compression operent avec 
des arguments qui sont le message m et la 
puissance p ieme de r, ce qui fournit un 
nombre D, 

- les moyens pour produire le temoin 
unique par le signataire sont aptes a 
former le produit, dans I'anneau des en- 
tiers modulo N, de rentier r par la puis- 
sance D (erne de I'accreditation inverse B, 

- les moyens du signataire fournissent, 
avec le message m, sont identite I, le mot D 
et le temoin t. 



20 



25 



30 



35 



40 



45 



50 



55 



60 



65 



13 



5DOCID: <EP 0311470A1 I > 



EP 0 311 470 A1 



J=Red(I) JB 2 mod N=1 





* 



EP 0 311 470 A1 






EP 0 311 470 AT 



FIG. 5 



2 2 
f(m, r 1 mod N s r k mod N) = D= d^... d k 



,d. 



t^r^ B i mod N 



f(m, t* J dl mod N, ... t k 2 J dk mod N)^ d1...dk 





EP 0 311 470 A1 






EP 0 311 470 A1 



FIG 9 



© ? 

D=f (m,r p mod N) 
t=r.B D mod N 
M=m,I ,D,t 
f(M,t p J D mod N)^D 



r 



L 




E.S. <J=[> UC 



FIG. 10 



DOCID: <EP 0311470A1_L> 



J 



Will ° ffice eur °P 6en RAPPORT DE RECHERCHE EUROPEENNE H 

Vr/lj des brevets 



Numero dc la demande 



EP 88 40 2231 



DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie 



Citation du document avec indication, en cas de besoin, 
des parties pertinentes 



Revindication 
concernee 



CLASSEMENT DE LA 
DEMANDE (Int. CI.4) 



D,A 



A,P 



A 

A 



CRYPTO '86, Santa Barbara, CA, US, aout 
1986, no. 263, pages 186-194, 
Springer-Verlag; A. FIAT et al.: "How 
to prove yourself practical solutions 
to identification and signature 
problems" 

EP-A-0 252 499 (YEDA RESEARCH AND 
DEVELOPMENT) 

* Pages 187-188, section 2 "Interactive 
identification"; pages 190-192, section 
3 "Signatures" * 

FR-A-2 536 928 (ETAT FRANCAIS) 

* Resume; revendi cations; figure * 

GB-A-2 102 606 (NATIONAL RESEARCH) 

COMPUTERS & SECURITY, vol. 5, no. 3, 
septembre 1986, pages 243-250, Elsevier 
Science Publishers B.V. , Amsterdam, NL; 
G.M.J. PLUIMAKERS: "Authentication: a 
concise survey 



G 07 F 
H 04 L 



7/10 
9/00 



1-6 



1-6 



DOMAIN ES TECHNIQUES 
RECHERCHES (Int. CL4) 



G 07 
H 04 



Le present rapport a ete etabli pour toutes les revendi cations 



Lien de la recherche 



LA HAYE 



Date d'acbevement de la recherche 

13-12-1988 



DAVID J.Y.H. 



CATEGORIE DES DOCUMENTS CITES 

X : particu Herem en t pertinent a lui seul 

Y : parttcutiereroeni pertinent en combinaison avec an 

autre document de la meme categorie 
A : arriere-plan technologique 
O : divulgation non-ccritc 
P : document intercalaire 



T : tbeorie ou principe a la base de rinvention 
E : document de brevet anterieur, mais publie a la 

date de depot ou apres cette date 
D : cite dans la demande 
L : cite pour d'autres raisons 



& : membre dc la meme famillc, document correspondant 



3DOCID: <EP 0311470A1J_> 



THIS PAGE BLANK (uspro) 



